OECD 정보보호 가이드라인 9개 원칙

OECD 정보보호 가이드라인 목표
가이드라인은 정보시스템과 네트워크를 보호하기 위한 수단으로 모든 참여자(Participants)들 사이에서 보안문화를 촉진하여 모든 참여자들이 관련 보안위쳡과 방지책에 대해 자신의 역할에 맞게 인식하고 보안에 대한 책임을 수용하며 보안을 향상시킬 수 있는 올바른 수단들을 취하게 한다. 정보시스템과 네트워크 및 이들이 이용되는 방식에 대한 보다 큰 신뢰를 형성하는 것을 목적으로 하고 있다.

① 인식(Awareness) - 참여자들은 정보 시스템과 네트워크 보안의 필요 및 보안을 향상시키기 위해 무엇을 할 수 있는지 인지하고 있어야 한다.
② 책임(Responsibility) - 모든 참여자들은 정보시스템과 네트워크 보안에 책임이 있다.
③ 대응(Response) - 참여자들은 보안 사고를 방지, 탐지, 대응하는데 시기적절하게 협력적으로 행동해야 한다.
④ 윤리(Ethics) - 참여자들은 타인들의 적법한 이익을 존중해야만 한다.
⑤ 민주주의(Democracy) - 정보시스템과 네트워크의 보안은 민주사회에서의 근본적인 가치들과 조화되어야 한다.
⑥ 위험평가(Risk Assessment) - 참여자들은 위험평가를 시행해야 한다.
⑦ 보안설계와 이행(Security Design and Implementation) - 참여자들은 보안을 정보시스템과 네트워크의 핵심 요소로 포함시켜야 한다.
⑧ 보안 관리(Security Management) - 참여자들은 보안 관리에 있어 포괄적인 접근 방식을 도입해야 한다.
⑨ 재평가(Reassessment) - 참여자들은 정보시스템과 네트워크의 보안을 재검토 및 재평가하여야 하며 보안 정책, 관행, 도구, 절차 등에 적절한 수정을 가해야 한다.